circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Solución de problemas

hashtag
Problemas de conexión

hashtag
Vista del cliente

hashtag
XML incorrecto

circle-exclamation

No se puede conectar porque necesita un certificado para iniciar sesión. Póngase en contacto con su soporte de TI.

Compruebe que su cliente tenga un certificado para autenticarse y que esté usando el perfil de configuración WiFi o XML.

hashtag
Problemas de raíz de confianza

circle-exclamation

No se puede conectar a esta red.

Compruebe que haya hecho lo siguiente:

  • Ha indicado a su servidor RADIUS qué certificados están permitidos para conectarse como se describe aquí

  • Ha importado el certificado activo del servidor RADIUS como raíz de confianza en su cliente como se describe aquí

  • Compruebe sus Registros. Hay una descripción detallada del error. Tal vez sea un esto problema.

hashtag
¿Continuar con la conexión?

circle-exclamation

¿Continuar con la conexión? Si espera encontrar la WiFi Corporativa en esta ubicación, continúe y conéctese. De lo contrario, puede ser una red diferente con el mismo nombre.

Mostrar detalles del certificado.

Si sus clientes necesitan verificar al conectarse por primera vez, y está viendo este cuadro de diálogo:

Asegúrese de haber referenciado el certificado del servidor RADIUS en su perfil WiFi y de haber proporcionado el atributo SAN del certificado del servidor (FQDN) y el nombre común (CN):

Mostrando el atributo SAN (FQDN) y el nombre común (CN) del certificado del servidor

hashtag
Vista del servidor

hashtag
CA desconocida

Si su Registros contienen mensajes de error similares a los que se muestran a continuación

puede tener las siguientes causas raíz:

  • El cliente genera error TLS Alert read:fatal:unknown CA

    • Su cliente no conoce el Certificado del servidor y rechaza la conexión. Compruebe que haya añadido su Certificado del servidor como se describe aquí.

    • Ha cambiado/añadido un nuevo Certificado del servidor y su perfil XML en el cliente está usando el antiguo. En ese caso, por favor verifique que haya actualizado su perfil WiFi/Cableado o regenerado su XML después de añadir los certificados y lo haya distribuido a sus clientes.

  • El servidor genera error TLS Alert write:fatal:unknown CA

    • Su servidor RADIUS no conoce al emisor del certificado que se usó para la autenticación. Añada su CA como se describe aquí.

hashtag
Certificado desconocido

Si usa macOS (y posiblemente otras plataformas Apple) y si su Registros contienen mensajes de error similares al que se muestra a continuación

puede tener las siguientes causas raíz:

  • Hay un carácter de espacio en algún lugar del Nombre del servidor del certificado en su WiFi o Cableado perfil de configuración.

hashtag
Error de descifrado | Acceso denegado

Si su Registros contienen mensajes de error similares a los que se muestran a continuación

... entonces probablemente sea un error del software TPM en sus máquinas Windows. Puede encontrar más información sobre eso en la documentación de SCEPmanarrow-up-right.

Si ve algo así en sus Registros

... pueden existir dos razones. Una es que su perfil WiFi esté referenciando el certificado raíz incorrecto para la validación del servidor. Por favor asegúrese de que su perfil esté configurado correctamente. Si lo está y aún enfrenta este problema, intente establecer su KSP en KSP de softwarearrow-up-right.

circle-exclamation

La configuración Key Storage Provider (KSP) determina la ubicación de almacenamiento de la clave privada para los certificados de usuario final. El almacenamiento en el TPM es más seguro que el almacenamiento por software, porque el TPM proporciona una capa adicional de seguridad para evitar el robo de claves. Sin embargo, existe un error en algunas versiones antiguas del firmware TPM que invalida algunas firmas creadas con una clave privada respaldada por TPM. En tales casos, el certificado no puede usarse para la autenticación EAP tal como es común para conexiones Wi-Fi y VPN. Las versiones de firmware TPM afectadas incluyen:

  • STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100

  • Intel: 11.8.50.3399, 2.0.0.2060

  • Infineon: 7.63.3353.0

  • IFX: Versión 3.19 / Especificación 1.2

Si usa TPM con este firmware, actualice su firmware a una versión más nueva o seleccione "KSP de software" como proveedor de almacenamiento de claves.

hashtag
No se puede continuar, ya que el par se está comportando mal

Si sus registros contienen rechazos con el error "No se puede continuar, ya que el par se está comportando mal" esto indica que el cliente dejó de comunicarse con el servicio RADIUS, principalmente porque la configuración de confianza es incorrecta. En este caso, por favor verifique los certificados en los dispositivos afectados.

hashtag
Secreto compartido RADIUS incorrecto

Si su (proxy) Registros contienen mensajes de error similares a los que se muestran a continuación

entonces uno de sus puntos de acceso o switches que está intentando conectarse a su instancia RADIUSaaS vía un Proxy RADIUS está usando un Secreto compartido.

Para identificar el punto de acceso o switch afectado, primero determine el proxy RADIUS expandiendo el mensaje de error y buscando la propiedad proxyip Ahora que conoce el proxy, use su inventario y conocimiento de ubicaciones específicas o grupos de dispositivos que no pueden conectarse a su red para identificar el dispositivo de red mal configurado. Finalmente, actualice el secreto compartido para que coincida con el valor configurado en su instancia RADIUSaaS para ese proxy.

hashtag
Problemas de certificados

hashtag
La cadena de certificados no pudo verificarse

Cuando desea usar su propio certificado de servidor, su servidor RADIUS requiere la cadena de certificados completa para permitir que otros participantes (Proxy, clientes RadSec, endpoints que intentan conectarse) verifiquen la identidad del servidor. Si ve este mensaje, copie y pegue el certificado CA debajo del certificado del servidor en el campo de texto o cree un paquete PKCS8 que incluya todos los certificados desde el intermedio hasta la raíz.

hashtag
Problemas del portal de administración

hashtag
Inicio de sesión

Para iniciar sesión en el portal web de RADIUSaaS ("RADIUSaaS Admin Portal"), se deben cumplir los siguientes requisitos:

  • El UPN/dirección de correo que proporcionó como administrador técnico debe poder autenticarse contra algún Microsoft Entra ID (Azure AD) (no tiene que ser una identidad del inquilino cuyos usuarios utilizarán RADIUSaaS para la autenticación de red).

  • El UPN/dirección de correo que proporcionó como administrador técnico debe haber sido registrado en su instancia RADIUSaaS como se describe aquí. En caso de que sea el administrador inicial, por favor contáctenosarrow-up-right si cree que registramos al usuario equivocado.

  • El objeto de usuario de Microsoft Entra ID (Azure AD) detrás del UPN/dirección de correo debe estar autorizado para otorgar a la Aplicación Empresarial de RADIUSaaS los siguientes permisos (ver captura de pantalla abajo):

    • Leer el perfil básico de usuario

    • Mantener acceso a los datos a los que usted le haya dado acceso (permitir la solicitud de token de actualización)

  • En caso de que su usuario de Microsoft Entra ID (Azure AD) no tenga derechos para otorgar los permisos requeridos, no se creará automáticamente la correspondiente Aplicación Empresarial en su Microsoft Entra ID (Azure AD). Para eludir esto, pida a su departamento de TI que otorgue a su usuario los permisos necesarios.

hashtag
Problemas de configuración de Intune

hashtag
Asignación de perfiles

La configuración de Wi‑Fi no se implementa si los perfiles Wi‑Fi, SCEP y de certificados de confianza están asignados a grupos diferentes. Pueden aparecer como "Pendientes" o no mostrar estado alguno. Por favor use el mismo grupo o "Todos los dispositivos" resp. "Todos los usuarios" para todos los perfiles vinculados.

Puede asignar el perfil de certificado raíz SCEP tanto a "Todos los usuarios" como a "Todos los dispositivos" si tiene un certificado de dispositivo (asignado a "Todos los dispositivos") y un certificado de usuario (asignado a "Todos los usuarios") en uso.

hashtag
Certificado SCEP

hashtag
Android

Android parece requerir un UPN en el nombre alternativo del sujeto en versiones más nuevas (incluso para certificados de dispositivo). Por favor agregue esto en su perfil SCEP (p. ej. {{DeviceId}}@contoso.com):

hashtag
Perfil Wi‑Fi

hashtag
Android

Códigos de error comunes: 0xc7d24fc5 o -942518331

Los puntos clave son:

  • seleccione el certificado Root CA para validación del servidor (importante: no suba el certificado del servidor de RADIUSaaS) - y -

  • defina un nombre del servidor radius

    • Nota: Parece haber un límite de caracteres para este campo. Para resolver posibles problemas, puede usar solo la parte de dominio sin subdominio como "radius-as-a-service.com" (en lugar de "contoso.radius-as-a-service.com").

    • Desarrolladores de Androidarrow-up-right afirma: "[...] deben configurar tanto un certificado Root CA, y ya sea un coincidencia de sufijo de dominio o una coincidencia de sujeto alternativa". Por lo tanto, el MDM puede usar "setAltSubjectMatch" o "setDomainSuffixMatch" después de añadir un certificado raíz a la configuración Wi‑Fi. Intune parece usar "setDomainSuffixMatch" ya que basta con "radius-as-a-service.com".

  • a veces privacidad de identidad es necesaria (p. ej. vista en dispositivos kiosco Android / Android Enterprise dedicado)

Última actualización

¿Te fue útil?